Benutzerbeiträge von „92.196.168.196“

Für 92.196.168.196 Diskussion Sperr-Logbuch Logbücher
Suche nach BenutzerbeiträgenAusklappenEinklappen
⧼contribs-top⧽
⧼contribs-date⧽
(neueste | älteste) Zeige ( | ältere 50) (20 | 50 | 100 | 250 | 500)

23. April 2024

  • 15:0315:03, 23. Apr. 2024 Unterschied Versionen +607 Bytes N O.Auth 11Die Seite wurde neu angelegt: „== Beschreibung == Für die Nutzer-Authentifizierung in der Anwendungssitzung KANN der zweite Faktor vom Hintergrundsystem-System erzeugt werden. == Kurzfassung == Erzeugung des zweiten Faktors durch das Hintergrundsystem. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Wird bei einer Zwei-Faktor-Authentisierung der zweite Faktor vom Hintergrundsystem in die Anwendung importiert (z.B. Time-Based One-Time Passwort (TOTP)), prüft d…“
  • 15:0015:00, 23. Apr. 2024 Unterschied Versionen +696 Bytes N O.Auth 10Die Seite wurde neu angelegt: „== Beschreibung == Der Nutzer MUSS in den Nutzungsbedingungen der Web-Anwendung auf das Restrisiko hingewiesen werden, welches mit der Speicherung der Login-Credentials im Web- Browser oder auch einem anderen externen Programm für einen komfortableren Anmeldevorgang verbunden ist. == Kurzfassung == Information des Nutzers über das Restrisiko der Speicherung der Login-Credentials im Web-Browser. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHEC…“
  • 15:0015:00, 23. Apr. 2024 Unterschied Versionen +1.216 Bytes N O.Auth 9Die Seite wurde neu angelegt: „== Beschreibung == Bei Änderung der Zugangsparameter SOLL der Nutzer über die zuletzt hinterlegten, gültigen Kontaktdaten über die Änderung informiert werden. Dem Nutzer SOLL über diesem Weg eine Möglichkeit geboten werden, die gemeldete Änderung zu sperren und nach entsprechender Authentifizierung neue Zugangsparameter zu setzen. == Kurzfassung == Information des Nutzers bei Änderung der Zugangsparameter. == Anmerkungen == ==== Prüftiefe ====…“
  • 15:0015:00, 23. Apr. 2024 Unterschied Versionen +696 Bytes N O.Auth 8Die Seite wurde neu angelegt: „== Beschreibung == Die Authentisierungsdaten DÜRFEN NICHT ohne eine ausreichende Authentifizierung des Nutzers geändert werden. == Kurzfassung == Ausreichende Authentifizierung des Nutzers für Änderung der Authentisierungsdaten. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft, ob er ohne angemessene Authentifizierung die Authentisierungsdaten verändern kann. Dies betrifft auch einen Ablauf zum Passwort…“
  • 15:0015:00, 23. Apr. 2024 Unterschied Versionen +625 Bytes N O.Auth 7Die Seite wurde neu angelegt: „== Beschreibung == Die Anwendung MUSS nach einer angemessenen Zeit in der sie aktiv verwendet wurde (active time) eine erneute Authentisierung fordern. == Kurzfassung == Erneute Authentifizierung nach angemessenen Zeit in der sie dauerhaft aktiv verwendet wurde. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator validiert, dass nach einer der Anwendung angemessenen Zeit, in der sie dauerhaft aktiv verwendet wurde, eine…“
  • 15:0015:00, 23. Apr. 2024 Unterschied Versionen +621 Bytes N O.Auth 6Die Seite wurde neu angelegt: „== Beschreibung == Die Anwendung MUSS nach einer angemessenen Zeit in der sie nicht aktiv verwendet wurde (idle time) eine erneute Authentisierung fordern. == Kurzfassung == Erneute Authentifizierung nach angemessenen Zeit in der sie nicht aktiv verwendet wurde. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator validiert, dass nach einer der Anwendung angemessenen Zeit, in der sie nicht aktiv verwendet wurde, eine erne…“
  • 15:0015:00, 23. Apr. 2024 Unterschied Versionen +571 Bytes N O.Auth 5Die Seite wurde neu angelegt: „== Beschreibung == Dem Nutzer SOLL eine Möglichkeit gegeben werden, sich über ungewöhnliche Anmeldevorgänge informieren zu lassen. == Kurzfassung == Information des Benutzers über ungewöhnliche Anmeldeversuche. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob dem Nutzer leicht zugänglich die Möglichkeit gegeben wird, Informationen zu Anmeldevorgängen nachzuvollziehen. Ist das nicht der Fall, sind d…“
  • 15:0015:00, 23. Apr. 2024 Unterschied Versionen +1.115 Bytes N O.Auth 4Die Seite wurde neu angelegt: „== Beschreibung == Für die Bewertung eines Authentifizierungsvorgangs SOLLEN zusätzliche Informationen (z. B. das verwendete Endgerät, der verwendete IP-Adresse oder die Zeit des Zugriffs) mit einbezogen werden. == Kurzfassung == Zusätzliche Informationen bei Bewertung des Authentifizierungsvorgangs einbeziehen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft das Vorhandensein und die Güte von zusätzli…“
  • 15:0015:00, 23. Apr. 2024 Unterschied Versionen +516 Bytes N O.Auth 3Die Seite wurde neu angelegt: „== Beschreibung == Jeder Authentifizierungsvorgang des Nutzers MUSS in Form einer Zwei-Faktor-Authentifizierung umgesetzt werden. == Kurzfassung == Zwei-Faktor-Authentifizierung. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft durch Quelltextanalyse und praktische Tests das Vorhandensein der Zwei-Faktor-Authentifizierung. Insbesondere prüft er, ob die verwendeten Faktoren aus unterschiedlichen Kategorien st…“
  • 14:5914:59, 23. Apr. 2024 Unterschied Versionen +585 Bytes N O.Auth 1Die Seite wurde neu angelegt: „== Beschreibung == Der Hersteller MUSS ein Konzept zur Authentifizierung (Zwei-Faktor-basiert), Autorisierung (Rollenkonzept) und zum Beenden einer Anwendungssitzung dokumentieren. == Kurzfassung == Herstellerkonzept zur Authentifizierung von Anwendungssitzungen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft das vom Hersteller bereitgestellt Konzept zur Authentifizierung, Autorisierung und Beenden der Anwend…“
  • 14:5814:58, 23. Apr. 2024 Unterschied Versionen +418 Bytes N O.Cryp 5Die Seite wurde neu angelegt: „== Beschreibung == Die Stärke der kryptographischen Schlüssel MUSS dem aktuellen Stand der Technik entsprechen (siehe [TR02102-1]). == Kurzfassung == Nutzung von starken kryptographischen Schlüsseln. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft die Stärke der verwendeten Schlüssel gegen den aktuellen Stand der Technik (vgl. [TR02102-1]). == Lösungsansätze ==“
  • 14:5814:58, 23. Apr. 2024 Unterschied Versionen +503 Bytes N O.Cryp 3Die Seite wurde neu angelegt: „== Beschreibung == Die Wahl kryptographischer Primitive MUSS passend zum Anwendungsfall sein und dem aktuellen Stand der Technik (siehe [TR02102-1]) entsprechen. == Kurzfassung == Passende Wahl der kryptographischen Primitive. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft die Abwägungen des Herstellers zur Wahl der kryptographischen Primitive und prüft, ob diese dem aktuellen Stand der Technik entspreche…“
  • 14:5814:58, 23. Apr. 2024 Unterschied Versionen +1.052 Bytes N O.TrdP 3Die Seite wurde neu angelegt: „== Beschreibung == Externe Bibliotheken und Frameworks MÜSSEN durch den Hersteller regelmäßig auf Schwachstellen überprüft werden. Der Hersteller MUSS ein Sicherheitskonzept vorlegen, das bei Bekanntwerden von Schwachstellen anhand der Kritikalität eine geduldete Weiternutzung für die Anwendung festlegt. Nachdem die Übergangsfrist (Grace Period) abgelaufen ist, DÜRFEN die betroffenen Funktionen aus Bibliotheken und Frameworks bei bekannten Schwac…“
  • 14:5714:57, 23. Apr. 2024 Unterschied Versionen +573 Bytes N O.TrdP 2Die Seite wurde neu angelegt: „== Beschreibung == Externe Software, Bibliotheken und Frameworks MÜSSEN in der neusten oder der ihr vorhergehenden, verfügbaren „Stable“ -Version verwendet werden. == Kurzfassung == Verwendung der aktuellen Version bei externen Bibliotheken und Frameworks. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Hersteller stellt nach O.TrdP_1 dem Evaluator eine Liste eingesetzter externer Software, Frameworks und Bibliotheken zu…“
  • 14:5714:57, 23. Apr. 2024 Unterschied Versionen +546 Bytes N O.TrdP 1Die Seite wurde neu angelegt: „== Beschreibung == Der Hersteller MUSS eine zentrale und vollständige Liste von Abhängigkeiten durch externe Software, Bibliotheken und Frameworks führen. == Kurzfassung == Abhängigkeiten durch externe Software, Bibliotheken und Frameworks. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Hersteller stellt eine Liste der eingesetzten externen Software, Frameworks und Bibliotheken inkl. der verwendeten Versionen bereit. Der…“
  • 14:5614:56, 23. Apr. 2024 Unterschied Versionen +542 Bytes N O.Source 10Die Seite wurde neu angelegt: „== Beschreibung == Sensible Daten DÜRFEN NICHT in der URL vorkommen. Die Web-Anwendung MUSS solche Daten in HTTP Request Headern oder POST-Parametern verarbeiten. == Kurzfassung == Keine sensiblen Daten in der URL. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator stellt durch Quelltextanalyse und praktische Tests sicher, dass sensible Daten ausschließlich über sichere, dem Stand der Technik entsprechende Methoden…“ aktuell
  • 14:5614:56, 23. Apr. 2024 Unterschied Versionen +1.055 Bytes N O.Source 9Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS Maßnahmen vorsehen, die verhindern, dass Funktionalitäten, die nicht in der Entwicklungshoheit des Herstellers liegen, in die Web-Anwendung eingeschleust und zur Ausführung gebracht werden. == Kurzfassung == Vorbeugende Maßnahmen zum Schutz von Funktionalitäten außerhalb der eigenen Entwicklungshoheit. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator stellt durch Quell…“
  • 14:5414:54, 23. Apr. 2024 Unterschied Versionen +1.002 Bytes N O.Auth 2Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS für die Anbindung an das Hintergrundsystem eine geeignete Authentifizierung und Autorisierung unterstützen. Die effektive Durchsetzung dieser Mechanismen MUSS im Falle der Web-Anwendung ausschließlich im Hintergrundsystem erfolgen. Insbesondere stellt der Autorisierungsmechanismus sicher, dass der authentifizierte Benutzer autorisiert ist auf die sensiblen Daten zuzugreifen. == Kurzfassung == Getrennte Realisi…“
  • 14:5414:54, 23. Apr. 2024 Unterschied Versionen +452 Bytes N O.Cryp 4Die Seite wurde neu angelegt: „== Beschreibung == Kryptographische Schlüssel DÜRFEN NICHT für mehr als genau einen Zweck eingesetzt werden. == Kurzfassung == Zweckbindung kryptographischer Schlüssel. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft die verwendeten kryptographischen Schlüssel auf ihre Zweckgebundenheit. Es wird der Zweck nach Schutz durch Verschlüsselung und Authentisierung unterschieden. == Lösungsansätze ==“
  • 14:5414:54, 23. Apr. 2024 Unterschied Versionen +473 Bytes N O.Cryp 2Die Seite wurde neu angelegt: „== Beschreibung == Die Anwendung MUSS auf bewährte Implementierungen zur Umsetzung krypto-graphischer Primitive und Protokolle zurückgreifen (vgl. [TR02102-2]). == Kurzfassung == Nur bewährte Implementierungen bei kryptographischen Primitiven. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft die Liste der verwendeten Krypto-Implementierungen gegen den aktuellen Stand der Technik (vgl.[TR02102-2]). == Lösu…“
  • 14:5414:54, 23. Apr. 2024 Unterschied Versionen +450 Bytes N O.Cryp 1Die Seite wurde neu angelegt: „== Beschreibung == Beim Einsatz von Verschlüsselung in der Web-Anwendung DÜRFEN KEINE fest einprogrammierten geheimen, bzw. privaten Schlüssel eingesetzt werden. == Kurzfassung == Keine fest einprogrammierten Schlüssel oder anderweitige Geheimnisse. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft, ob fest einprogrammierte geheime, bzw. private Schlüssel eingesetzt werden. == Lösungsansätze ==“
  • 14:5414:54, 23. Apr. 2024 Unterschied Versionen +583 Bytes N O.TrdP 7Die Seite wurde neu angelegt: „== Beschreibung == Drittanbieter-Software, die nicht länger vom Hersteller oder Entwickler gewartet wird, DARF NICHT verwendet werden. == Kurzfassung == Prüfung der Wartung von verwendeter Drittanbieter-Software. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob die verwendete Drittanbieter-Software vom Hersteller aktiv gepflegt wird. Eine Software gilt als nicht mehr gewartet, sofern sicherheitskritische…“ aktuell
  • 14:5414:54, 23. Apr. 2024 Unterschied Versionen +445 Bytes N O.TrdP 6Die Seite wurde neu angelegt: „== Beschreibung == Über Drittanbieter-Software eingehende Daten SOLLEN validiert werden. == Kurzfassung == Validierung eingehender Daten über Drittanbieter-Software. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob eingehende Daten über Drittanbieter-Software als nicht vertrauenswürdige Quelle nach O.Source_1 behandelt werden und Sicherheitsfunktionen vorhanden sind. == Lösungsansätze ==“
  • 14:5414:54, 23. Apr. 2024 Unterschied Versionen +552 Bytes N O.TrdP 5Die Seite wurde neu angelegt: „== Beschreibung == Vor der Verwendung von externen Bibliotheken und Frameworks MUSS deren Quelle auf Vertrauenswürdigkeit geprüft werden. Die Web-Anwendung DARF externe Libraries aus nicht-vertrauenswürdigen Quellen NICHT nachladen. == Kurzfassung == Prüfung auf Vertrauenswürdigkeit der Quelle von externen Bibliotheken und Frameworks. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft die Maßnahmen des Hers…“
  • 14:5414:54, 23. Apr. 2024 Unterschied Versionen +897 Bytes N O.TrdP 4Die Seite wurde neu angelegt: „== Beschreibung == Sicherheitsupdates für externe Bibliotheken und Frameworks MÜSSEN zeitnah zur Verfügung gestellt werden. Der Hersteller MUSS ein Sicherheitskonzept vorlegen, das anhand der Kritikalität ausnutzbarer Schwachstellen die geduldete Weiternutzung für die Web-Anwendung, bzw. das Hintergrundsystem festlegt. Nachdem die Übergangsfrist (Grace Period) abgelaufen ist, DARF die Web-Anwendung NICHT mehr zur Benutzung angeboten werden. == Kurz…“
  • 14:5314:53, 23. Apr. 2024 Unterschied Versionen +1.416 Bytes N O.Source 8Die Seite wurde neu angelegt: „== Beschreibung == Nutzt die Web-Anwendung URL-Weiterleitungen (URL-Redirects), MUSS diese kontrolliert erfolgen. == Kurzfassung == Kontrollierte Verwendung von URL-Weiterleitungen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator stellt sicher, dass URL-Weiterleitungen kontrolliert verwendet werden. Keinesfalls darf der Link auf eine externe Seite hierbei die Session-ID enthalten. Ist die Liste der Weiterleitungs-U…“
  • 14:5314:53, 23. Apr. 2024 Unterschied Versionen +429 Bytes N O.Source 7Die Seite wurde neu angelegt: „== Beschreibung == Der Hersteller MUSS sicherstellen, dass keinerlei Überreste von Debug-Mechanismen in der Produktiv-Version verbleiben. == Kurzfassung == Keine Debug-Mechanismen in der Produktiv-Version. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator überprüft die produktive Anwendung auf Rückstände von Zeichenketten, Debug-Mechanismen und -Informationen. == Lösungsansätze ==“
  • 14:5314:53, 23. Apr. 2024 Unterschied Versionen +534 Bytes N O.Source 6Die Seite wurde neu angelegt: „== Beschreibung == Alle Optionen zur Unterstützung der Entwicklung (z. B. Log-Aufrufe, Entwickler-URLs, Testmethoden etc.) MÜSSEN in der Produktiv-Version mindestens deaktiviert oder besser vollständig entfernt sein. == Kurzfassung == Deaktivierung von unterstützenden Entwicklungsoptionen in der Produktiv-Version. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator überprüft die produktive Anwendung auf Rückstä…“
  • 14:5314:53, 23. Apr. 2024 Unterschied Versionen +542 Bytes N O.Source 5Die Seite wurde neu angelegt: „== Beschreibung == Bei Ausnahmen im Programmablauf (Exceptions), mit sicherheitskritischen Auswirkungen, SOLL die Web-Anwendung Zugriffe auf sensible Daten abbrechen und diese im Speicher sicher löschen. == Kurzfassung == Abbruch des Zugriffs auf sensible Daten bei Exceptions. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft den Zugriff auf sensible Daten bei Exceptions im Programmablauf. Jeglicher identifiz…“
  • 14:5314:53, 23. Apr. 2024 Unterschied Versionen +549 Bytes N O.Source 4Die Seite wurde neu angelegt: „== Beschreibung == Potenzielle Ausnahmen im Programmablauf (Exceptions) MÜSSEN abgefangen, kontrolliert behandelt und dokumentiert werden. Technische Fehlerbeschreibungen (z.B. Stack Traces) DÜRFEN dem Nutzer NICHT angezeigt werden. == Kurzfassung == Kontrollierte Behandlung und Dokumentation von Ausnahmen (Exceptions). == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft durch Quelltextanalyse und praktische T…“
  • 14:5314:53, 23. Apr. 2024 Unterschied Versionen +393 Bytes N O.Source 3Die Seite wurde neu angelegt: „== Beschreibung == Fehlermeldungen und Benachrichtigungen DÜRFEN KEINE sensiblen Daten (z. B. User Identifier oder Session-IDs) enthalten. == Kurzfassung == Keine sensiblen Daten in Meldungen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob sensible Daten über Fehlermeldungen oder Benachrichtigungen einsehbar werden. == Lösungsansätze ==“ aktuell
  • 14:5314:53, 23. Apr. 2024 Unterschied Versionen +1.108 Bytes N O.Source 2Die Seite wurde neu angelegt: „== Beschreibung == Die Anwendung MUSS eingehende und ausgehende Daten maskieren beziehungsweise von potenziell schadhaften Zeichen bereinigen oder deren Verarbeitung ablehnen. == Kurzfassung == Nutzung einer Escape-Syntax bei strukturierten Daten. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob eine Escape-Syntax von strukturierten Daten für alle Eingaben vorhanden ist. Schadhafte Zeichen sind kontextabh…“
  • 14:5314:53, 23. Apr. 2024 Unterschied Versionen +643 Bytes N O.Source 1Die Seite wurde neu angelegt: „== Beschreibung == Die Anwendung MUSS Eingaben aus nicht vertrauenswürdigen Quellen vor deren Verwendung prüfen, um potenziell bösartige Werte vor der Verarbeitung herauszufiltern. == Kurzfassung == Prüfung von Eingaben vor Verwendung. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob alle Eingaben aus nicht vertrauenswürdigen Quellen vor ihrer Verwendung dem Stand der Technik entsprechend geprüft werd…“
  • 14:4614:46, 23. Apr. 2024 Unterschied Versionen +679 Bytes N O.Arch 9Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung SOLL HTTP-Server-Header nutzen, die dem aktuellen Stand der Technik entsprechen und die Sicherheit der Anwendung erhöhen. Dazu gehören unter anderem HTTP Strict Transport Security (HSTS), Content Security Policy (CSP) und X-Frame-Options. == Kurzfassung == Verwendung von dem Stand der Technik entsprechenden HTTP-Server-Headern. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator pr…“
  • 14:4614:46, 23. Apr. 2024 Unterschied Versionen +1.061 Bytes N O.Arch 8Die Seite wurde neu angelegt: „== Beschreibung == Das Hintergrundsystem MUSS beim Start auf die Aktualität des genutzten Web-Browsers prüfen. Wenn die Installation eines sicherheitsrelevanten Updates noch nicht erfolgt ist, DARF das Hintergrundsystem KEINEN Zugriff auf sensible Daten ermöglichen. == Kurzfassung == Prüfung auf Aktualität des genutzten Web-Browsers. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob ein Zugriff auf sens…“
  • 14:4614:46, 23. Apr. 2024 Unterschied Versionen +557 Bytes N O.Arch 7Die Seite wurde neu angelegt: „== Beschreibung == Der Hersteller MUSS dem Nutzer eine barrierearme Möglichkeit bereitstellen, um Sicherheitsprobleme zu melden. Die Kommunikation SOLL über einen verschlüsselten Kanal stattfinden. == Kurzfassung == Barrierearme Möglichkeit zum Melden von Sicherheitsproblemen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob eine entsprechende Möglichkeit vorhanden ist. Falls kein verschlüsselter Kana…“
  • 14:4614:46, 23. Apr. 2024 Unterschied Versionen +811 Bytes N O.Arch 6Die Seite wurde neu angelegt: „== Beschreibung == Die Architektur der Web-Anwendung SOLL einem minimalistischen Ansatz folgen und mit einer serverseitig lokalisierten Verarbeitungslogik realisiert sein, d.h. es SOLLEN keine komplexen aktiven Inhalte (Java Applets, ActiveX-Plugin, o.ä.) verwendet werden. == Kurzfassung == Serverseitig lokalisierte Verarbeitungslogik der Web-Anwendung. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft, ob di…“
  • 14:4614:46, 23. Apr. 2024 Unterschied Versionen +897 Bytes N O.Arch 5Die Seite wurde neu angelegt: „== Beschreibung == Nutzt die Web-Anwendung Frameworks oder Bibliotheken von Dritten, MUSS der Hersteller dem Nutzer Informationen über den Nutzungsumfang und die eingesetzten Sicherheitsmechanismen klar darstellen. Die Anwendung MUSS sicherstellen, dass diese Funktionen in sicherer Weise genutzt werden. Die Anwendung MUSS darüber hinaus sicherstellen, dass ungenutzte Funktionen durch Dritte nicht aktiviert werden können. == Kurzfassung == Informierung…“ aktuell
  • 14:4614:46, 23. Apr. 2024 Unterschied Versionen +608 Bytes N O.Arch 4Die Seite wurde neu angelegt: „== Beschreibung == Backups und Cloud-Backups DÜRFEN KEINE sensiblen Daten im Klartext beinhalten. Die Web-Anwendung muss daher so gestaltet sein, dass sensible Daten auch durch den Browser nicht etwa in dessen Cache persistiert werden. == Kurzfassung == Keine unverschlüsselten sensiblen Daten in Backups oder im Browser-Cache persistiert. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft durch Quelltextanalys…“
  • 14:4614:46, 23. Apr. 2024 Unterschied Versionen +709 Bytes N O.Arch 3Die Seite wurde neu angelegt: „== Beschreibung == Der Lebenszyklus von kryptographischem Schlüsselmaterial MUSS einer ausgearbeiteten Richtlinie folgen, die Eigenschaften wie die Zufallszahlenquelle, detaillierte Angaben zur Aufgabentrennung von Schlüsseln, Ablauf von Schlüsselzertifikaten, Integritätssicherung durch Hash-Algorithmen etc., umfasst. Die Richtlinie SOLL auf anerkannten Standards wie [TR02102-2] und [NIST80057] basieren. == Kurzfassung == Dokumentation des Lebenszykl…“
  • 14:4614:46, 23. Apr. 2024 Unterschied Versionen +678 Bytes N O.Arch 2Die Seite wurde neu angelegt: „== Beschreibung == Bereits in der Designphase von Web-Anwendung und Hintergrundsystem MUSS berücksichtigt werden, dass die Anwendung in der Produktivphase sensible Daten verarbeiten wird. Die Architektur der Anwendung MUSS dafür die sichere Erhebung, Verarbeitung, Speicherung und Löschung der sensiblen Daten in einem Datenlebenszyklus abbilden. == Kurzfassung == Berücksichtigung der Verarbeitung sensibler Daten in der Design-Phase. == Anmerkungen ==…“
  • 14:4414:44, 23. Apr. 2024 Unterschied Versionen +628 Bytes N O.Resi 2Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS über die Nutzungsbedingungen dem Nutzer darstellen, welche Risiken für die Daten des Nutzers bei einer Benutzung von Geräten mit Jailbreak oder Root-Zugriff bestehen (z. B. dass diese offengelegt werden könnten). == Kurzfassung == Information des Nutzers bei Verwendung von Geräten mit eingeschränkten Sicherheitsleistungen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator…“
  • 14:4314:43, 23. Apr. 2024 Unterschied Versionen +512 Bytes N O.Arch 1Die Seite wurde neu angelegt: „== Beschreibung == „Security“ MUSS ein fester Bestandteil des Softwareentwicklungs- und Lebenszyklus‘ für die gesamte Web-Anwendung und das Hintergrundsystem sein. == Kurzfassung == „Security“ ist Bestandteil des Softwareentwicklungs- und Lebenszyklus. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob der Quelltext und die Design-Dokumente auf die Verwendung aktueller „Best-Practices“ bei der…“
  • 14:4314:43, 23. Apr. 2024 Unterschied Versionen +836 Bytes N O.Purp 9Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung DARF sensible Daten NICHT auf dem Bildschirm darstellen, außer dies ist für den primären Zweck der Anwendung erforderlich. == Kurzfassung == Nur zweckgebundene Darstellung sensibler Daten auf dem Bildschirm. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft die Abwägungen des Herstellers, ob die Darstellung von sensiblen Daten zum gegebenen Zeitpunkt für die Erfüllung d…“
  • 14:4314:43, 23. Apr. 2024 Unterschied Versionen +1.291 Bytes N O.Purp 8Die Seite wurde neu angelegt: „== Beschreibung == Sofern es nicht für den vorgesehenen primären Zweck einer Web-Anwendung erforderlich ist, DÜRFEN sensible Daten NICHT mit Dritten geteilt werden. Die Anwendung MUSS den Nutzer über die Konsequenzen einer eventuellen Weitergabe von Anwendungsdaten vollumfänglich informieren und sein Einverständnis einholen (OPT-IN). == Kurzfassung == Weitergabe von sensiblen Daten nur für den primären Zweck. == Anmerkungen == ==== Prüftiefe ==…“
  • 14:4314:43, 23. Apr. 2024 Unterschied Versionen +1.068 Bytes N O.Purp 7Die Seite wurde neu angelegt: „== Beschreibung == Setzt die Web-Anwendung Frameworks und Bibliotheken von Dritten ein, SOLLEN alle verwendeten Funktionen für die rechtmäßigen Zwecke der Anwendung erforderlich sein. Die Anwendung SOLL anderweitige Funktionen sicher deaktivieren. Im Falle einer geringen Nutzung SOLL abgewogen werden, ob die Nutzung im Verhältnis zur Vergrößerung der Angriffsoberfläche durch die verwendeten Frameworks und Bibliotheken steht. == Kurzfassung == Nutz…“
  • 14:4314:43, 23. Apr. 2024 Unterschied Versionen +494 Bytes N O.Purp 6Die Seite wurde neu angelegt: „== Beschreibung == Der Hersteller MUSS ein Verzeichnis führen, welches erkennen lässt, welche Nutzereinwilligungen vorliegen. Der nutzerspezifische Teil des Verzeichnisses MUSS für den Nutzer automatisiert einsehbar sein. == Kurzfassung == Führen eines Verzeichnisses der Nutzereinwilligungen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft das Vorhandensein, die Aktualität und die Vollständigkeit des Ver…“
  • 14:4314:43, 23. Apr. 2024 Unterschied Versionen +696 Bytes N O.Purp 5Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS ermöglichen, dass der Nutzer eine bereits erteilte Einwilligung wieder entziehen kann. Der Nutzer MUSS vor der Einwilligung über die Möglichkeit des Widerrufs und die sich daraus ergebenden Veränderungen im Verhalten der Anwendung informiert werden. == Kurzfassung == Entzug der Einwilligung ermöglichen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob dem Nutze…“
  • 14:4314:43, 23. Apr. 2024 Unterschied Versionen +434 Bytes N O.Purp 4Die Seite wurde neu angelegt: „== Beschreibung == Daten, deren Verwendung der Nutzer nicht ausdrücklich zugestimmt hat, DÜRFEN NICHT von der Web-Anwendung oder dem Hintergrundsystem erfasst oder genutzt werden. == Kurzfassung == Nutzung ausschließlich zugestimmter Daten. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator gleicht die in O.Purp_2 gewonnen Erkenntnisse mit den erteilten Zustimmungen ab. == Lösungsansätze ==“
  • 14:4314:43, 23. Apr. 2024 Unterschied Versionen +440 Bytes N O.Purp 3Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS vor jeglicher Erfassung oder Verarbeitung personenbezogener aktive und eindeutige Einwilligungserklärung des Nutzers einholen. == Kurzfassung == Einholung einer Einwilligungserklärung des Nutzers. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob ohne Zustimmung des Nutzers personenbezogene Daten verarbeitet werden können. == Lösungsansätze ==“
(neueste | älteste) Zeige ( | ältere 50) (20 | 50 | 100 | 250 | 500)
Abgerufen von „https://dhack.labs.inf.fh-dortmund.de//index.php/Spezial:Beiträge/92.196.168.196